espacenet — Bibliographic data 



Page 1 of 1 



Method and gateway enabling an end-to-end secured a 



Classification: 



EP1083722 (A2) 
2001-03-14 

HUBER ADRIANO (CHJ; LOHER URS DR [CH] + 
SWISSCOMAG(CH] + 



Application number: El 
Priority number(s): US1 99901 52356P 19990907 



Cited documents: 
I W09945684 (A2) 
I XP002167506 (A) 
I XP002167503 (A) 



Abstract of EP 1083722 {A2) 
The method involves a mobile subscriber sending 
request for a server (5) to a WAP gateway (3), 
whereby the security in the air interface (2) between 
the WAP-compatible terminal (1) and the gateway ' 
based on Wireless Transport L^yer Security 
(WTLS) and the server Is secured with the SSL 
and/or TLS security protocol. The converston 
between WTLS and SSL and/or TLS is conducted In 
a secure area managed by the manager of the 
designated server and the packets sent by the 
terminal are passed from the gateway to the 
secured area without all packets transmitted during 
a session being encoded. An Independent claim Is 
also included for a gateway for converting WTLS- 
protected datagrams from WAP-compatlble 
3SL-secured queries. 
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(54) Verfahren, System und Gateway, die einen End-zu-End gesicherten Zugriff auf WAP- 
eriauben 



(57) Verfahren, mit welchem ein Mobiltellnehmer 
mil einem WAP-tauglichen Endgerat (1 ) auf einen WAP 
Oder WEB-Server (5) zugreifen kann, 
wobei das benannte Endgerat (1) eine Anfrage fur den 
benannten Server an ein WAP-Gateway (3) sendet, 

wobei die Sictierlielt in der Luftsciinittstelle (2) zwi- 
sciien dem benannten WAP-taugliclien Endgerat 
(1) und dem benannten Gateway (2) auf WTLS 
(Wireless Transport Layer Security) basiert, 
wobei der benannte Server (5) mit dem SSL und/ 



Oder TLS Siciieriieitsprotokoll gesiciiert ist, 
wobei die Konversion zwischen WTLS und SSL 
und/oderTLS in einem vom Verwalterdes benann- 
ten Servers (5) verwalteten gesicherten Gebiet er- 
folgt, 

und wobei die Pakete, dievom benannten Endgerat 
(1) gesendet warden, vom benannten Gateway (3) 
zum benannten gesicherten Gebiet weitergeleltet 
werden, ohne dass alle Pakete die wahrend einer 
Session Obertragen werden entschliisselt werden. 
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Beschreibung 

[0001] Die vorliegende Erfindung betrifft ein Verfahren, mit welchem ein Mobilteilnehmer mil einem WAP-tauglichen 
Endgerat auf einen WAP oder WEB-Server zugreifen kann. 
s [0002] WAP (Wireless Application Protocol)-Server, welche WAP basierte Dienste zur Verfugung stellen, sind an 
sich schon bekannt. Insbesondere sind auf WAP-basierte Dienste im Bereich von e-commerce und von finanziellen 
Instituten erhaltlich. 

[0003] Solche Dienste verlangen eine gesicherte Paketubertragung zwischen den Endbenutzern und dem Server 
des Dienstanbieters. Die gewohnliche und vom WAP-Forum empfohlene Losung verwendet die WTLS-Protokollschicht 

10 (Wireless Transport Layer Security); dieses Verfahren kann jedoch nur zum sichern der Paketubertragung zwischen 
den Endgeraten und einem (beispielsweise vom IWobilfunknetzbetreiber verwalteten) Gateway verwendet werden. In 
diesem Gateway wird eine Protokollubersetzung zum Sicherheltsprotokoll SSL 3. 1 oder zum TLS 1 .0 durchgefuhrt. 
[0004] Das Prinzip einer mit diesem Verfahren gesicherten Datenubertragung ist schematisch auf der Figur 2 dar- 
gestellt. Mit dem Bezugszeichen 1 ist ein WAP taugliches Endgerat, beispielsweise ein WAP-taugiiches GSM-Mobil- 

is funktelefon (Global System for Mobile Communication) dargestellt, das sich uber ein digitales Mobiifunknetz 2 mit 
einem vom Betreiber dieses Netzes verwalteten Gateway verbinden kann. Das Endgerat 1 enthalt ein Browser Mit 5 
ist ein Server eines Dienstanbieters, beispielsweise eines Finanzinstituts oder eines Anbieters im e-commerce Bereich, 
dargestellt. Dieser Server kann auf eine Datenbank 51 zugreifen, in welcher WEB und/oder WAP-Seiten gespeichert 
sind. Die WEB oder WAP-Seiten konnen beispielsweise HTI\4L-, WML-, JAVA-Script-, WML-Script-, usw., Dokumente 

20 enthalten. 

[0005] Der Benutzer des Endgerats 1 , der auf eine WEB-oder WAP-Seite In der Datenbank 51 zugreifen kann, muss 
zu diesem Zweck eine mit WTLS-Diensten gesicherte Anfrage durch das Gateway 3 zum Server 5 senden. Diese 
Anfrage wird im Gateway 3 durch alle Protokollschichten eines Konvertierungsmoduls 30 entschlusselt, und dann in 
eine mit TLS oder SSL gesicherte Anfrage ubersetzt, die uber ein TCP/IP Netz 4 an den Sen/er 5 gesendet wird. Im 
25 Server 5 kann ein anderes Ubersetzungsmodul vorgesehen werden, das diese Anfrage in ein eigenes Format konver- 
tiert, welches vom Datenbankverwaltungssystem 51 verstanden werden kann. Die Antwort vom Server 5, beispiels- 
weise der Inhalt einer WEB oder WAP-Seite, wird in der anderen Richtung uber das Gateway 3, wo es umkonvertiert 
wird, zum Endgerat 1 geleitet. 

[0006] Dieses Verfahren eriaubt keine echte End-zu-End Verschlusselung; Daten und Pakete mussen im Gateway 
30 3 entschlusselt und wieder verschlusselt werden, damit die Protokollubersetzung durchgefuhrt wird. Fur viele Anwen- 
dungen ist eine solche Sicherheitslucke jedoch nicht akzeptierbar 

[0007] Ein Ziel der vorliegenden Erfindung ist es, ein neues sichereres DatenObertragungsverfahren zwischen einem 
Endgerat und einem WAP oder WEB-Server anzubieten. 

[0008] Ein anderes Ziel ist es, ein neues Verfahren anzubieten, mit welchem eine End-zu-End gesicherte Verbindung 
35 zwischen einem WAP-tauglichen Endgerat und einem WAP oder WEB-Server hergestelit werden kann. 

[0009] Ein weiteres Ziel ist es, ein neues Verfahren anzubieten, welches mit jedem WAP-tauglichen Endgerat das 

WTLS verwendet, etngesetzt werden kann, insbesondere mit Endgeraten, die eine Serverauthentifizierung basierend 

auf einem RSA-Schlussel, auf X.509v3 Zertifikaten, auf RC5 oder auf anderen Sicherheitsprotokollen gemass WAP 

Oder WTLS, bzw. auf weiteren digitalen Zertifikaten, verwenden. 
40 [001 0] Gemass der vorliegenden Erfindung werden diese Ziele insbesondere durch die Merkmale der unabhangigen 

Anspruche erreicht. Weitere vorteilhafte Ausfuhrungsformen gehen ausserdem aus den abhangigen Anspruchen und 

der Beschreibung hen/or 

[0011] Insbesondere werden diese Ziele durch ein Verfahren erreicht, in welchem das benannte Endgerat eine An- 
frage fur den benannten Server an ein WAP-Gateway sendet, wobei die Sicherheil in der Luflschnittstelle zwischen 

45 dem benannten WAP-tauglichen Endgerat und dem benannten Gateway auf WTLS (Wireless Transport Layer Security) 
basiert, wobei der benannte Server eine SSL und/oder TLS Protokollschicht enthalt, wobei die Konversion zwischen 
WTLS und SSL und/oder TLS in einem vom Verwalter des benannten Servers verwalteten gesicherten Gebiel erfolgt, 
und wobei die Pakete, die vom benannten Endgerat gesendet werden, vom benannten Gateway zum benannten ge- 
sicherten Gebiet weitergeleitet werden, ohne alle Pakete, die wahrend einer Session ubertragen werden, zu entschlus- 

so seln. 

[0012] Die Pakete werden durch eine sogenannten Tunnelschicht durch das Gateway ubertragen, ohne dass sie 
entschlusselt werden. Dadurch bleibt der Inhalt selbst dem Betreiber des Gateways unbekannt. Die Pakete werden 
dann erst beim Server des Dienstanbieters in einem Proxy (sogenannten E2ES-Proxy) entschlusselt und mit dem 
Zertifikat einer vertrauten Drittinstanz verifiziert. 
ss [0013] Ausserdem werden diese Ziele durch ein Verfahren erreicht, mit welchem ein Mobilteilnehmer mit einem 
WAP-tauglichen Endgerat auf einen WAP oder WEB-Server zugreifen kann, wobei das benannte Endgerat eine An- 
frage fur den benannten Server an ein WAP-Gateway sendet in welchem ein Browser im benannten Endgerat die 
Portnummer der beantragten WEB oder WAP-Seite extrahiert und in die zum benannten Gateway gesendeten Pakete 
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kopiert, und in welchem die benannten Pakete im benannten Gateway in Abhangigkeit von dieser Portnummer wei- 
tergeleitet werden. 

[0014] Ausserdem werden diese Zieie dadurch errecht, dass die Anfrage, die von einem Endgerat uber ein Gateway 
an einen WEB oder WAP-Server gesendet wird, mil WTLS End-zu-End gesicliert wird. 
5 [0015] Vorzugsweise kann im Gateway zwischen Sessionen, die konventionell behandelt werden sollen und Ses- 
sionen, die gemass der vorliegenden Erfindung weitergeleitet werden sollen, unterschieden werden. 
[0016] Im Folgenden werden anhand der beigefugten Zeichnung bevorzugte Ausfuhrungsbeispiele der Erfindung 
nailer beschrieben: 

[0017] Die Figur 1 vergleicht die Protokollschichten in einem WAP-Protokoll-Stapel und im Internet Protokoll-Stapel. 
10 [0018] Die oben beschriebene Figur 2 zeigt das Prinzip einer gesicherten Datenubertragung gemass dem normalen 
WAP-Protokoll. 

[001 9] Die Figur 3 zeigt das Prinzip einer gesicherten Datenubertragung gemass einer ersten \feriante der Erfindung. 
[0020] Die Figur 4 zeigt das Prinzip einer gesicherten Datenubertragung gemass einer zweiten Vferiante der Erfin- 

's [0021] Die Figur 5 zeigt das Prinzip einer gesicherten Datenubertragung gemass einer dritten Variante der Erfindung. 
[0022] Die Figur 3 zeigt das Prinzip einer ersten Variante der Erfindung. Diese Figur zeigt ein in einem digitalen 
Mobilfunknetz 2 angemeldetes WAP-taugliches Endgerat 1 , beispielsweise ein WAP-taugliches GSM-Mobilfunktelefon 
Oder einen WAP-tauglichen tragbaren Rechner. Mit diesem Gerat kann ein Programm, beispielsweise ein WAP-Brow- 
ser, ausgefuhrt werden, das sich als Kunde mit einem WAP und/ oder WEB-Server 5 verbinden kann und somit auf 

20 Daten in diesem Server zugreifen kann. 

[0023] Der WAP- oder WEB-Server 5 enthalt WML und/oder HTML-Seiten, die beispielsweise von einem Dienstan- 
bleter (beispielsweise einem FInanzinstitut und/oder einem Anbieter im Bereich e-commerce) angeboten werden. Es 
wird oft von Dienstanbietem und Endbenutzem gewunscht, dass die Session die aufgebaut wird wenn ein Benutzer 
auf mehrere Seiten zugreift, gesichert wird. Insbesondere ist es oft notig, dass manche Daten, die in beiden Richtungen 

25 zwischen dem Endgerat 1 und dem Server 5 ijbertragen werden, End-zu-End gesichert werden und dass keine Dritt- 
partei, nicht einmal der Mobilfunknetzbetreiber, diese Daten entschlussein kann. Ausserdem wird eine gegenseitige 
Authentisierung des Dienstanbieters und des Mobilbenutzers benotigt. 

[0024] Der Benutzer des Endgerats kann eine gesicherte Seite erreichen, beispielsweise um eine Transaktion durch- 
zufuhren, indem er beispielsweise auf den entsprechenden URL einer gesicherten oder nicht gesicherten Seite klickt. 
30 Der vom Dienstanbieter definlerte URL der Seite kann beispielsweise http://www.sp1 .com:50443 lauten, wobei http:// 
www.sp1.com die URL-Adresse des Dienstanbieter und 50443 seine Portnummer ist. In Wap werden hingegen die 
fortlaufenden Portnummerbereiche 920x angewendet. 

[0025] Erfindungsgemass werden die URL in den WML und/oder HTML-Seiten der Dienstanbieter so verfasst, dass 
die gewunschte Sessionsart (End-zu-End gesichert. Standard gesichert oder ungesichert) aus diesem URL, unter 
35 anderem aus der URL-Adresse und/oder aus der Portnummer, ermittelt werden kann. 

[0026] Mit dem Bezugszeichen 3 ist ein ebenfalls dem Mobilfunknetz 2 angeschlossenes Gateway dargestellt. Das 
Gateway nimmt die Pakete vom Benutzer 1 entgegen und entschlusselt das oder die ersten Pakete in jeder Session, 
bis eine Anwendung 314 die Portnummer und die URL der gewunschten WEB oder WAP-Seite aus den Paketen 
extrahieren kann. 

40 [0027] Sobald diese Angaben gef unden worden sind, bestimmt die Anwendung 31 4 anhand den vom Verwalter des 
Gateways angegebenen Angaben, wie die Pakete bearbeitet werden sollen. Insbesondere bestimmt die Anwendung, 
Ob die Session zwischen dem Endgerat 1 und dem Server 5 End-zu-End gesichert werden soil. Dies ist beispielsweise 
dann der Fall wenn sich die Portnummer (beispielsweise 50443) in einer vom Administrator des Gateways aufgebauten 
Liste befindet. 

45 [0028] Das Gateway 3 verwendet eine zusatzliclie Protokollschicht 310 (Tunnelscliicht), die von der Anwendung 
31 4 gesteuert wird (Pfeil 31 5). Wenn die Session gesicliert werden soli, wird die Tunnelsclnicht 31 0 so gesteuert, dass 
alle nachfolgenden Pakete der Session in transparenter Art durch das Gateway gefuhrt und an die Zieladresse des 
Servers 5 weitergeleitet werden, ohne konvertiert und vor allem ohne entschlusselt zu werden. 
[0029] Die immer noch mit WTLS gesicherten Pakete der Session werden dann uber das Netz 4 weitergeleitet und 

so vom Server 5 im gesicherten Gebiet des Dienstanbieters entgegengenommen. Das Netz 4 kann beispielsweise aus 
dem Internet oder aus einer gemieteten Telefon-Linie bestehen. Der Server 5 umfasst ein Proxy 52 welches spater 
eriautert wird, ein konventionelles Gateway 50, und eine Datenbank 51, in welcher ein WEB- und/ oder WAP-lnhalt 
abgelegt ist. 

[0030] Das Proxy 52 im Server 5 des Dienstanbieters wird so aufgebaut, dass es WTLS-gesicherte Sessionen ent- 
55 gegennehmen kann. Es umfasst vorzugsweise einen kompletten WAP-Protokoll-Stapel und kann somit durch vom 
Fachmann leicht durchf uhrbare Anpassungen von standardisierter Software realisiert werden. In diesem Proxy werden 
empfangene mit WTLS gesicherte WDP-Datagramme mit dem Zertifikat einer vertrauten Drittinstanz gepruft, ent- 
schlusselt und in normale TCP-IP-Datagramme ubersetzt, wobei die HTTP-Session optional mit SSL gesichert werden 
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kann. Die TCP-IP konvertierten Pakete werden an den WAP- Oder WEB-Setver 50 weitergeleitet, der eventuell eine 
andere Protokollkonvertierung durchfuhrt, damit die ennpfangene Abfrage vom Datenbanksystem 51 bearbeitet werden 

kann. 

[0031] Als Alternative konnen die Datagramme mit einem Session-Schlussel ver- und entschlusselt werden, dssen 
s Schlussel mit Hilfe eines zertifizierten, offentlichen Schlussel wahrend der Schlusselvereinbarungsphase generiert 
werden. 

[0032] Die Antwort vom WEB bzw. WAP-Server 50, zum Belsplel die gewunschte WEB- Oder WAP-Seite, wird vom 
Server 50 in die andere Riclntung gesendet, im Proxy 52 ubersetzt und mit WTLS-Diensten gesichert und durcli die 
"Tunnelschicht" 31 0 im Gateway 31 an das Endgerat 1 des Benutzers geleitet, wobei die gesamte Verbindung zwischen 

10 Server 5 und Endbenutzer 1 mit WTLS gesichert wird. 

[0033] Datagramme, die aufgrund des enthaltenen URL und/oder Portnummer keine End-zu-End gesicherte Daten- 
iibertragung verlangen, werden im Gateway 31 gemass der konventionellen vom WAP-Forum empfohlenen Losung 
durcli alle Schicliten des Protokolls im Gateway 2 entschlusselt, mit TLS/SSL wieder gesichert und an die in den 
Paketen angegebene URL-Adresse weitergeleitet. Beispielsweise werden Sessionen mit der Portnummer 80 wie ge- 

is wohnliche HTTP-Sessionen behandelt und weitergeleitet. 

[0034] Antworten vom Sen/er 5 (beispielsweise die gewunschten WEBoder WAP-Seiten) die keine WTLS-Sicherung 
zwischen Server und Gateway 3 verlangen, werden von der Proxy-Anwendung 524 durch eine Tunnelschicht 520 im 
Proxy durchgefuhrt (Pfeil 315) und erst im Gateway 3 mit WTLS-Diensten gesichert. 

[0035] Diese Variante verlangt keine Anderungen vom Browser im Endgerat 11 und nur ein relativ einfaches Proxy 
20 53 beim Dienstanbieter 5, das WTLS-Sessionen entgegennehmen kann. Die Software-Implementation des Gateways 
3 kann sich jedoch als schwierig erweisen. 

[0036] Die zweite Variante, die auf der Figur 4 dargestellt wird, eriaubt es, dieses Problem durch eine leicht durch- 
fiihrbare Anpassung der Anwendung (zum Beispieldes Browsers) im Endgerat 1 zu vermeiden. IndieserVferiante wird 
die URL-Adresse und die Portnummer der verlangten WEB Oder WAP-Seite vom Browser 10 in jedes Paket (WDP- 

25 Datagramm) der Session kopiert. Diese Pakete werden dann uber das Mobilfunknetz 2 an das Gateway 3 gesendet, 
wo die Portnummer und die URL analysiert werden, um zu ermittein wie die Pakete weiterbehandelt werden sollen. 
[0037] Diese Variante hat den Vorteil, dass die Analyse und die Weiterbehandlung der Pakete in den unteren Schich- 
ten des Protokolls, unter anderem in der WDP und/oder WTLS-Schicht, durchgefuhrt werden kann und dass sie somit 
nur minimale Anpassungen des Gateways 3 verlangt 

30 [0038] Eine Tabelle 321 im Gateway 3 Oder in einem nicht dargestellten Router vor dem Gateway gibt an, wie die 
Pakete je nach Portnummer und URL behandelt werden sollen und insbesondere welche Pakete transparent durch 
die Tunnelschicht 320 gehen sollen. Diese Tabelle kann vorzugsweise vom Administrator des Gateways 3 konfiguriert 
und geandert werden, ohne dass das Gateway neu gestartet werden muss, damit die Konfiguration wahrend des 
Betriebes aktualisiert werden kann. Daten in der Tabelle konnen vorzugsweise nur vom Administrator geandert werden, 

3S Oder von Personen mit Adminlstratorenrechten. 

[0039] Die Tabelle im Gateway 3 konnte beispielsweise folgende Zeilen enthalten: 







Eingegebene URL Adresse 


Neue Adresse (von 


1 Gateway erteilt) 


Bemerkung 


40 




Adresse 


Portnummer 


Adresse 


Portnummer 








138.10.20.30 


8040 


140.50.60.70 


12345 


Pakete mit dieser Adresse werden 
auf transparente Weise an die 
neue Adresse geleitet. Die 
Portnummer wird ersetzt 
(Mapping). 




2 




50443 




50443 


Stern-Joker eriauben eine 
Bedingung fur alle Sen/er mit der 
gleichen Portnummer zu setzen 


SO 


3 


138.10.20.40 




138.10.20.40 




Wie oben, jedoch ohne DNS- 
Lookup 




4 


www.sp1.com 




www.spl .com 




Alle URL vom spl mussen durch 
die Tunnelschicht 


55 


5 


www.sp1.com 


80 


wwwsp1.com 




Alle Verbindungen mit 
Portnummer 80 durch die 
Tunnelschicht 
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(fortgesetzt) 





Eingegebene URL Adresse 


Neue Adresse (vom Gateway erteilt) 


Bemerkung 


Adresse 


Portnummer 


Adresse 


Portnummer 


6 


www.sp1.ch 


50443 


www.sp1.ch 


50443 


spl verlangt, dass alle Sessionen 
mit der Portnummer 50443 durch 
die Tunnelschicht geleitet werden. 


7 


www.sp2.ch 


443 


www.sp2.ch 


443 


sp2 verlangt, dass alle Sessionen 
mit der Portnummer 443 durch die 
Tunnelschicht geleitet werden. 
Damit wird kein SSL mit dem Port 
443 verwendet. SSL kann dann 
beispielsweise vom Proxy 
verwendet werden. 


8 













[0040] Der Administrator des Gateways 3 wird vorzugsweise den Dienstanbietern einen Bereich von URL-Adressen 
20 und/oder Portnummern zur Verfugung stellen. Dienstanbieter SP1, SP2, usw, konnen dann eine Oder mehrere URL, 
Oder Portnummern, oder Kombinationen aus belden, fur sich resen^leren und den Administrator 3 anweisen, Pakete 
mit dieser URL und/oder Portnummer transparent weiterzuleiten. 

[0041] Die FigurSzeigtals Beispiel, wie die Pakete, die von verschiedenen Endbenutzem 1, bis 1 4 gesendet werden, 
vom Gateway 3 in Abhangigkeit ihrer URL-Adresse und/oder Portnummer behandelt werden. 
25 [0042] Das dargestellte System umfasst in diesem Beispiel drei Server 5^ , 62 und 53 von drei verschiedenen Dienst- 
anbietern spl , sp2 und sp3. Die vier folgenden Seiten werden im ersten Server 5^ (bzw. Sg) abgelegt: 

■ eine ungesicherte WEB-Seite mit der Adresse www.spl .com:80 (bzw. www.sp2.com:80) 

30 u eine WEB-Seite mit der Adresse www.spl .com:443(bzw. www.sp2.com:443), die nurmit SSL gesichert wird (keine 
End-zu-End Sicherheit) 

■ eine WEB-Seite mit der Adresse www.spl .com:50443 (bzw. www.sp2.com:50443), die mit WTLS gesichert wird 

(End-zu-End Sicherheit) 

35 

■ eine WAP-Seite mit der Adresse wap.spl .com:50443 (bzw. wap.sp2.com:50443), die mit WTLS gesichert wird 
(End-zu-End Sicherheit) 

[0043] Im Server 83 des dritten Dienstanbieters sp3 werden nur zwei Seiten abgelegt: 

■ eine ungesicherte WEB-Seite mit der Adresse www.sp3.com:S0 

■ eine WEB-Seite mit der Adresse www.sp3.com:443, die nur mit SSL gesichert wird (keine End-zu-End Sicherheit) 

45 [0044] Der erste Benutzer 1 , will auf die gesicherten Seiten www.spl .com:443 und www.spl .com:50443 des Dienst- 
anbieters SP1 im Server 5^ zugreifen, indem er GET(URL) Abfragen mit entsprechenden URL an das Gateway 3 
sendet. Das Gateway 3 erkennt anhand der Tabelle 321 und des im Datagramm enthaltenen URL und/oder der Port- 
nummer, welche Sicherheiten von diesen Seiten verlangt werden. Im ersten Fall (SSL Sicherheit) werden alle Data- 
gramme der Session im Gateway 3 entschlusselt und eine Ubersetzung von WTLS zu SSL wird durchgefuhrt. Im 

50 zweiten Fall (End-zu-End Sicherheit mit WTLS) werden alle Datagramme der Session transparent an den Server 5, 
weitergeleitet, ohne dass sie entschlusselt werden. 

[0045] Der zweite Benutzer 1 2 will auf die Seite www.sp2.com:50433 des Dienstanbieters sp2 im Server 62 zugreifen, 
die eine End-zu-End Sicherheit verlangt. Datagramme mit dieser Adresse werden im Gateway 3 erkannt und transpa- 
rent durch die Tunnelschicht an den Server Sg geleitet. 
55 [0046] Der dritte Benutzer 1 3 will auf die Seite www.sp3.com:443 des Dienstanbieters sp2 im Server 62 zugreifen, 
die eine mit TLS/SSL gewahrleistete Sicherheit verlangt. WTLS-gesicherte Datagramme mit dieser Adresse werden 
im Gateway 3 erkannt, durch alle Schichten des Protokoll-Stapels ubersetzt, mit TLS/SSL gesichert und an den Server 
63 weitergeleitet. 
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[0047] Der vierte Benutzer I4 will auf die ungesicherte Seite www.sp3.oom:80 des Dienstanbieters sp2 im Server 
Sg zugreifen. WTLS-gesicherte Pakete mit dieser Adresse werden im Gateway 3 erkannt, durch alle Schichten des 
Protokoll-Stapels ubersetzt und an den Server 63 weltergeleltet, ohne sie durch das Netz 4 zu sichern. 
[0048] DIese Variante verlangt nur minimale Anderungen vom Gateway 3. Allerdings mussen die Browser-Anwen- 

5 dungen in den Endgeraten 1 lelcht angepasst werden, was sich bei vielen Anbietern als schwierig erwelsen kann. 
[0049] Wir werden jetzt eine dritte Erfindungsvariante beschreiben, die diesen Nachteil vermeidet. 
[0050] In dieser Variante werden Sessionen die eine End-zu-End Sicherheit verlangen anhand der URL-Adresse 
und/oder der Portnumnner wie in der ersten Oder zweiten Variante erkannt. Statt die Sessionen durch die Tunnelschicht 
transparent weiterzuleiten, sendet das Gateway in diesem Fall einen standardisierten Redirect-Befehl mit der in der 

)0 Tabelle 321 angegebenen Adresse und Portnummer des Dienstanbieters und mit anderen Parameter fur die Identifi- 
zierung vom Gateway 5, wie Dial-In Nummer, an das Endgerat 1. 

[0051] Die Weiterleitungsadresse (Adresse, Portnummer, DIal-ln Nummer, usw..) im Redirect-Befehl wird vorzugs- 
weise aus einem vom WAP oder WEB-Server 5 zuganglich gemachten Dokument extrahiert. Der Redirect-Befehl kann 
auch dieses oder ein anderes Dokument oder die Adresse eines solchen Dokuments enthalten, in welchem die Wel- 
is terleitungsadresse enthalten ist. Im Dokument konnen vorzugswelse verschiedene Adressengebiete mit Stringmuster, 
beispielsweise mit *, angegeben werden. 

[0052] Die Anwendung im Mobilgerat 1, die diesen Redirect Befehl entgegennimmt, reagiert, indem sie jetzt die 
sohon vorher an das Gateway 3 gesendeten Pakete wieder direkt an die im Redirect-Befehl angegebene Adresse des 
Dienstanbieters sendet. 

20 [0053] Alle Pakete in der Session werden dann direkt zwischen dem Endgerat 1 und dem Server 5 ubertragen, bis 
der Endbenutzer einen anderen URL sendet, der vom Server 5 nicht bearbeitet werden kann (beispielsweise wenn 
sich die entsprechende gewunschte Seite nicht auf diesem Server befindet). In diesem Fall wird die Session vom 
Server 5 unterbrochen und die nachfolgenden Pakete werden wieder an das Gateway 3 gesendet. 
[0054] Falls keine End-zu-End Sicherheit benotigt wird, wird kein Redirect Befehl vom Gateway 3 gesendet. In die- 

25 sem Fall werden alle Pakete wahrend der gesicherten Session durch das Gateway 3 gesendet. 



Patentanspriiche 

30 1. Verfahren, mit welchem ein Mobilteilnehmer mit einem WAP-tauglichen Endgerat (1 ) auf einen WAP oder WEB- 
Server (5) zugreifen kann, 

wobei das benannte Endgerat (1 ) eine Anf rage fur den benannten Server an ein WAP-Gateway (3) sendet, 

wobei die Sicherheit in der Luftschnittstelle (2) zwischen dem benannten WAP-tauglichen Endgerat (1) und 
35 dem benannten Gateway (3) auf WTLS (Wireless Transport Layer Security) basiert, 

wobei der benannte Server (5) mit dem SSL und/oder TLS Sicherheitsprotokoll gesichert ist, 

dadurch gekennzeichnet, dass die Konversion zwischen WTLS und SSL und/oder TLS in einem vom Ver- 
walter des benannten Servers (5) verwalteten gesicherten Gebiet erfolgt, 
40 und dass die Pakete, die vom benannten Endgerat (1 ) gesendet werden, vom benannten Gateway (3) zum 

benannten gesicherten Gebiet weltergeleltet werden, ohne alle Pakete die wahrend einer Session ubertragen 
werden zu entschlusseln. 

2. Verfahren gemass /\nspruch 1, dadurch gekennzeichnet, dass das benannte Gateway (3) die benannten Pakete 
45 zu einem Proxy (52) im benannten gesicherten Gebiet weiterleitet, wobei das benannte Proxy (52) mindestens 

eine Protokollschicht des WAP-Protokolls venwendet. 

3. Verfahren gemass einem der Anspruche 1 oder 2, in welchem die benannten Pakete in Abhangigkeit vom URI 
und/oder vom Domainname der angefragte Seite im benannten Gateway (3) weltergeleltet werden. 

50 

4. Verfahren gemass einem der vorhergehenden Anspruche, in welchem die benannten Pakete abhangig von der 
Portnummer im benannten Gateway (3) weitergeleitet werden, 

5. Verfahren gemass dem vorhergehenden Anspruch, in welchem die benannten Pakete abhangig von verschiede- 
55 nen Portnummem an verschiedene gesicherte Gebiete weitergeleitet werden. 

6. Verfahren gemass einem der Anspruche 4 oder 5, in welchem die benannte Portnummer aus der URI und/oder 
URL der angefragten Seite in einer Anwendungsschicht des benannten Gateways (3) extrahiert werden. 
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7. Verfahren gemass Anspruch 6, in welchem die benannte Portnummer wahrend einer Session nur aus einer be- 
grenzten Anzalil von Pal<eten extraliiert wird, 

und in welcliem das Weiterleiten von mindestens einem folgenden Pallet von dieser benannten extrahierten 
Portnummer abliangig ist. 

5 

8. Verfaliren gemass Ansprucli 7, in welcliem ein Proxysen/er (52) im benannten gesicherten Gebiet die URI und/ 
Oder die Portnummer der empfangenen Pal<ete extrahiert, und in welchem der benannte Proxyserver (52) dem 
benannten Gateway (3) elnen Befelil zurucl<sendet, wenn er ein Pallet mit einer anderen URI und/oder mit einer 
anderen Portnummer empfangt. 

9. Verfaliren gemass einem der Anspruclie 4 Oder 5, in welchem die benannte Portnummer aus dem benannten URI 
und/oder URL der angefragten Webseite im benannten Endgerat (1) extrahiert wird. 

10. Verfahren gemass Anspruch 9, In welchem die benannte Portnummer von einem Browser aus dem URI und/oder 
'5 URL der angefragten Webseite extrahiert wird. 

1 1 . Verfahren gemass einem der Anspruche 8 Oder 9, in welchem der Browser im benannten Endgerat (1 ) die benannte 
Portnummer in den benannten Paketen erst dann kopiert, wenn eine End-zu-End gesicherte Verbindung beantragt 
ist. 

20 

12. Verfahren gemass einem der Anspruche 3 bis 11, in welchem die benannten Pakete im benannten Gateway (3) 
an ein gesichertes Gebiet weitergeleitet werden wenn sich die benannte Portnummer in einem vorbestimmten 
Bereich befindet. 

25 13. Verfahren gemass Anspruch 1 , dadurch gekennzeichnet, dass wenn eine End-zu-End gesicherte Verbindung be- 
antragt ist, das benannte Gateway (3) einen Redirect-Befehl zum benannten Endgerat (1 ) sendet. 

14. Verfahren gemass dem vorhergehenden Anspruch, in welchem der benannte Redirect Befehl zeitlich begrenzt ist. 

30 15. Verfahren gemass Anspruch 13, in welchem ein Proxy Server (52) im benannten gesicherten Gebiet die URI und/ 
Oder die Portnummer der empfangenen Pakete extrahiert, und einen Redirect Befehl zuriick zum benannten End- 
gerat (1) sendet, sobald die Session zum benannten Gateway (3) weitergeleitet werden soil. 

16. Verfahren gemass Anspruch 13, in welchem den benannten Redirect-Befehl eine Weiterleitungsadresse enthalt, 
35 die aus einem vom benannten WAP Oder WEB-Server (5) zuganglich gemachten Dokument extrahiert wird. 

17. Verfahren gemass dem Anspruch 13, in welchem den benannten Redirect-Befehl ein Dokument enthalt, in wel- 
chem die Weiterleitungsadresse enthalten Ist. 

40 18. Verfahren, mit welchem ein Mobilteilnehmer mit einem WAP-tauglichen Endgerat (1) auf einen WAP Oder WEB- 
Server (5) zugreifen kann, 

wobei das benannte Endgerat (1) eine Anfrage fur den benannten Server (5) an ein WAP-Gateway (3) sendet, 
dadurch gekennzeichnet, dass ein Browser im benannten Endgerat (1) die Portnummer der beantragten WEB 
Oder WAP-Seite extrahiert und in zum benannten Gateway (3) gesendete Paketen kopiert, 
45 und dass die benannten Pakete im benannten Gateway (3) in Abhangigkeit von dieser Portnummer weitergeleitet 

werden. 

19. Gateway (3), das mit WTLS-gesicherte Datagramme von WAP-tauglichen Endgeraten entgegennehmen und in 
SSL-gesicherte-Abfragen ubersetzen kann, 

50 dadurch gekennzeichnet, dass es Datagramme erkennen kann, die in transparenter Weise weitergeleitet 

werden sollen und dass es diese Datagramme ohne sie zu entschlussein weiterleiten kann. 

20. Gateway gemass dem vorhergehenden Anspruch, in welchem die benannten Pakete in Abhangigkeit vom URI 
und/oder vom Domainname der angefragten Seite weitergeleitet werden. 

55 

21. Gateway gemass einem der Anspruche 19 oder 20, in welchem die benannten Pakete in Abhangigkeit von der 
Portnummer Im benannten Gateway (3) weitergeleitet werden. 
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22. Gateway gemass dem vorhergehenden Anspruch, in welchem die benannten Pakete abhangig von verschiedenen 
Portnummern an verschiedene gesicherte Gebiete weitergeleitet werden. 

23. Gateway gemass einem der Anspruclie 21 Oder 22, in welchem die benannte Portnummer aus dem URI und/oder 
URL der angefragten Seite in einer Anwendungsscliicht des benannten Gateways (3) extrahiert werden. 

24. Gateway gemass Anspruch 21 , in welchem die benannte Portnummer wahrend einer Session nur aus einer be- 
grenzten Anzahl von Paketen extrahiert werden, 

und in welchem das Weiterleiten von mindestens einem folgenden Paket von dieser benannten extrahierten 
Portnummer abhangig ist. 
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